2
Domänen Account mit SMB Zugang für einfache Geräte (ohne Login-Möglichkeit)
Hallo,
einfache Geräte wie Scanner, Messgeräte, Radios sollen Dateien auf Netzwerkfreigaben / Shares lesen bzw. ablegen können.
Die Rechte in der Netzwerkfreigabe sollen aber keinen Lese- und Schreibzugriff für "Jeder" erhalten, sondern nur für einen bestimmten Account (pro Gerät oder pro Gerätegruppe einen).
Der Account muss also ein regulärer Domänen-Account mit Passwort sein.
Da das Passwort auf dem Gerät hinterlegt werden muss und weil die Geräte-Konfiguration oft nicht sonderlich geheim oder sicher ist, soll man diesen Account auch nur für den Zugriff auf die Freigabe benutzen können. Insbesondere soll keine interaktive Anmeldung damit möglich sein.
Bei einem Linux-System kann man die shell z.B. auf /bin/false ändern.
Wie erreicht man das am einfachsten in einer Windows-Domäne?
Gruß
Klaus
einfache Geräte wie Scanner, Messgeräte, Radios sollen Dateien auf Netzwerkfreigaben / Shares lesen bzw. ablegen können.
Die Rechte in der Netzwerkfreigabe sollen aber keinen Lese- und Schreibzugriff für "Jeder" erhalten, sondern nur für einen bestimmten Account (pro Gerät oder pro Gerätegruppe einen).
Der Account muss also ein regulärer Domänen-Account mit Passwort sein.
Da das Passwort auf dem Gerät hinterlegt werden muss und weil die Geräte-Konfiguration oft nicht sonderlich geheim oder sicher ist, soll man diesen Account auch nur für den Zugriff auf die Freigabe benutzen können. Insbesondere soll keine interaktive Anmeldung damit möglich sein.
Bei einem Linux-System kann man die shell z.B. auf /bin/false ändern.
Wie erreicht man das am einfachsten in einer Windows-Domäne?
Gruß
Klaus
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 338898
Url: https://administrator.de/contentid/338898
Printed on: April 19, 2024 at 09:04 o'clock
2 Comments
Latest comment
Im AD Objekt des Users unter Logon to einen Fantasienamen einer Workstation hinterlegen, oder per Grouppolicy die lokale Sicherheitsrichtlinie "Deny interactive logon" mit der Gruppe der Service-Accounts deployen.
Gruß
Gruß
Hallo,
zumindest bei einem Samsung C3060FR, den ich zum Test als Scanner benutzt habe, geht die Lösung mit dem Fantasienamen als Workstation nicht. Man muss mindestens den Server, der die Freigabe anbietet, auch in der Liste der "Logon to" eintragen.
Gruß Klaus
zumindest bei einem Samsung C3060FR, den ich zum Test als Scanner benutzt habe, geht die Lösung mit dem Fantasienamen als Workstation nicht. Man muss mindestens den Server, der die Freigabe anbietet, auch in der Liste der "Logon to" eintragen.
Gruß Klaus
